Articles of kerberos

我遇到了FreeBSD（8.2-STABLE）上的OpenLDAP使用Kerberos票证进行身份validation的一些问题。 我希望我的脑子有毛病，所以请随时告诉我，我错过了一些明显的事情。 这里是事情的地方： Kerberos工作得很好。 我可以使用kinit获取凭证，并且可以使用这些凭证进行身份validation（例如，用于ssh或telnetlogin）。 OpenLDAP已安装并与基本身份validation配合使用。 slapd显然与SASL库链接; ldd …/slapd报告： libsasl2.so.2 => /usr/local/lib/libsasl2.so.2 (0x800d07000) 存在/usr/local/lib/sasl2/slapd.conf，内容如下： mech_list: GSSAPI 支持GSSAPIauthentication的slapd报告： $ ldapsearch -x -b '' -s base supportedSASLMechanisms dn: supportedSASLMechanisms: GSSAPI 存在/etc/krb5.keytab其中包含host/<myhostname>和ldap/<myhostname> 。 示例SASL服务器/客户端似乎与gssapi身份validation正常工作： # server -p 2222 -s ldap -m gssapi 其次是： # client -p 2222 -s ldap -m gssapi 最终导致： successful authentication 但是… 我一直无法让slapd接受GSSAPIauthentication。 简单地尝试使用有效的Kerberos票证运行ldapwhoami导致以下错误： SASL/GSSAPI […]

我已经使用squid设置了一个代理，使用Kerberos / ldap作为身份validation。 我用这篇文章作为参考： http : //www.howtoforge.com/debian-squeeze-squid-kerberos-ldap-authentication-active-directory-integration-and-cyfin-reporter 我试图使用IE浏览器的代理，它的工作原理。 但是它不适用于Chrome和Firefox。 （我不确定它在Chrome上无法正常工作，事实上Chrome在IE上的networking设置相同）。 在IE上input我的帐户详细信息后，它可以正常工作，但在Chrome和Firefox上，它不接受我的用户名和密码。 在Firefox上，自动代理configurationURL是http：// wpad。 例如。 com /wpad.dat（我只是使用空格，以便它不被识别为链接） network.negotiate-auth.trusted-uris指向http：//示例。 COM 这里是cache.log的日志 2011/08/16 00:45:41| squid_kerb_auth: DEBUG: Decode 'TlRMTVNTUAABAAAAB4IIogAAAAAAAAAAAAAAAAAAAAAFASgKAAAADw==' (decoded length: 40). 2011/08/16 00:45:41| squid_kerb_auth: WARNING: received type 1 NTLM token 2011/08/16 00:45:41| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH received type 1 NTLM token' access.log的 1313469925.993 […]

我们已经使用kerberos，pam和winbindd集成了一个linux瘦客户机和AD。 我们正在使用pam_mkhomedir来制作主目录，而且工作正常。 但是当AD用户在用户名中使用混合或大写时，login脚本不会运行。 AD不区分大小写，不关心用户是否使用“名称”或“名称”。 所以当用户“鲍勃”login与“鲍勃”时，他得到家里目录/家庭/鲍勃，但用户名鲍勃，在Linux不是一样的。 我什么用户名总是被转换成小写，是可能的？ # Pam file # auth sufficient pam_unix.so nullok try_first_pass auth sufficient pam_krb5.so use_first_pass auth sufficient pam_winbind.so use_first_pass auth required pam_deny.so account required pam_access.so account sufficient pam_unix.so broken_shadow debug account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 100 quiet account [default=bad success=ok user_unknown=ignore] pam_winbind.so account required pam_permit.so password sufficient pam_unix.so […]

我正在尝试在Ubuntu 11.04上安装PHP。 我从源代码编译。 这里是我的安装依赖关系： apt-get -y install php5-dev php-pear apt-get -y install libxml2-dev libevent-dev zlib1g-dev libbz2-dev libgmp3-dev libssl-dev libcurl4-openssl-dev libjpeg-dev libpng-dev libgd2-xpm-dev libmcrypt-dev memcached libmemcached-dev libc-client-dev libkrb5-dev 这里是我的configuration脚本： ./configure –enable-fpm –enable-cli –with-fpm-user=php-fpm –with-fpm-group=php-fpm –prefix=/usr/local/php –exec-prefix=/usr/local/php –with-config-file-path=/usr/local/php/etc –with-config-file-scan-dir=/usr/local/php/etc –enable-bcmath –enable-ctype –with-curl –with-curlwrappers –enable-dba –with-cdb –with-flatfile –with-inifile –enable-exif –enable-ftp –disable-fileinfo –with-gd –with-jpeg-dir –with-png-dir –with-zlib-dir –with-xpm-dir –with-ttf –with-freetype-dir […]

我有一个运行在Tomcat前面的Apache2 httpd，通过mod_auth_kerb进行身份validation。 当我在Firebug中打开控制台时，我看到很多401 看截图： 有没有办法避免这种情况？ 我猜想它会造成影响性能的额外往返。

我已经在“内部”（VirtualBox含义）networking上设置了两个虚拟机，一个是DNS服务器（dns1.example.com），另一个是KDC和Kerberospipe理服务器（kdc.example.com）。 默认和唯一的领域是EXAMPLE.COM。 两台机器都使用新安装的Debian Squeeze。 问题是：我可以通过kdc.example.com上的sdlogin到kdc.example.com，但是我无法通过dns1.example.com中的sshlogin。 在kdc.example.com上，debugging模式下的sshd说： debug1: Unspecified GSS failure. Minor code may provide more information Wrong principal in request debug1: Got no client credentials debug3: mm_request_send entering: type 41 debug3: mm_request_receive entering debug1: userauth-request for user tom service ssh-connection method gssapi-with-mic debug1: attempt 2 failures 1 debug2: input_userauth_request: try method gssapi-with-mic debug1: userauth-request for […]

看起来好像需要在UNIX客户端和MSAD上的用户名以匹配kerberosauthentication才能运行（我认为也是LDAPauthentication）。 这是绝对的吗？ 我们的基础设施所有者习惯于在没有警告的情况下更改samaccountName – 在这种情况下实现UNIX / MASD Kerberos / LDAP身份validation会变得有点噩梦。 我们可以改变用户映射模块来引用不同的AD属性（不会改变）吗？

我有一个在Windows Server 2008 R2上运行的Oracle 11g数据库标准实例，我需要启用Kerberos身份validation。 我遵循激活Kerberos 5的文档，但无法使其工作。 所以我想知道，这个function只适用于更高版本，如果是的话，是否有任何技巧可以在标准版本上启用它？ 谢谢。

我们有一个WCF服务，它使用主动联盟通过AD FS 2.0validation呼叫者，并且在内部工作正常。 现在我们要把它暴露给外部世界，所以我们的服务器团队在DMZ中为这个服务和一个AD FS代理服务器build立一个服务器。 当调用WCF服务时，我们得到以下exception： System.ServiceModel.Security.SecurityNegotiationException：通过“ https://adfs-dev.example.com/adfs/services/trust/2005/kerberosmixed ”获取目标的SOAP安全性协议https://adfs-dev.example.com/ adfs / services / trust / 2005 / kerberosmixed '失败。 查看更多细节的内部例外 —> System.IdentityModel.Tokens.SecurityTokenValidationException：提供的NetworkCredentials无法创buildKerberos凭证，请参阅内部exception以了解详细信息。 —> System.IdentityModel.Tokens.SecurityTokenException：InitializeSecurityContent失败。 确保服务主体名称是正确的。 – > System.ComponentModel.Win32Exception：指定的目标未知或无法访问。 内部AD FS服务器是configuration为服务器场而不是独立服务器的单个服务器，AD FS服务在服务帐户下运行。 代理AD FS服务器是configuration为独立的单个服务器，AD FS服务作为networking服务运行。 DMZ中应用程序服务器上的主机文件条目将AD FS服务名称指向代理服务器的IP。 防火墙允许端口443上的SSLstream量从代理到内部AD FS服务器。 HOST / adfs-dev.example.com SPN已注册为服务帐户。 我可能会错过什么？

我有重复的SPN有威胁将Kerberos的身份validation降级到事件查看器中显示的NTLM。 如何安全地删除SQL帐户的重复SPN？ 我已经使用setspn -Xvalidation了这些副本。 SQL服务器是运行在物理服务器上的虚拟服务器，我想知道这是否与重复帐户有关。 两者都运行Server 2012。